conventioneel risicomanagement 

 

Bij conventioneel (traditioneel of instrumenteel) risicomanagement wordt het omgaan met bedreigingen doorgaans georganiseerd als een apart(e) systeem, functie of afdeling. Hieronder vind je een aantal observaties vanuit de praktijk. Ze maken dat veel managers niet het gevoel hebben dat deze benadering hen erg helpt om betere beslissingen te nemen. 


a.    afzonderlijk vocabulaire gebruiken met veel woorden die beginnen met ‘risico-‘, zoals risicocultuur naast organisatiecultuur en risico-indicatoren naast prestatie-indicatoren;

b.    streven naar één overkoepelende methodologie in plaats van beslissers te helpen met instrumenten die hen het beste ondersteunen bij het omgaan met kansen en bedreigingen in hun specifieke situatie; 

c.    risico’s zien als doel en niet als middel om mogelijke afwijkingen van de toekomstige resultaten in te schatten om vervolgens de interne organisatie waar nodig aan te passen;

d.    de grootste kwetsbaarheden benadrukken (negatieve connotatie) en nauwelijks oog hebben voor wat de kansen op succes kan vergroten; 

e.    nagaan wat de realisatie van individuele organisatiedoelstellingen bedreigt en voorbijgaan aan het afwegen van conflicterende belangen bij het oplossen van dilemma’s;

f.     een separate functie of commissie creëren die gaat over risico’s in plaats van actief de vele verschillende expertisegebieden met elkaar te verbinden;

g.    aparte risico-eigenaren benoemen, alsof het omgaan met onzekerheid geen onderdeel is van de reguliere managementverantwoordlijkheid en het proceseigenaarschap;

h.    afzonderlijke risicomanagementbeleidsstukken opstellen, terwijl het bij elk beleidsterrein gaat over het omgaan met kansen en bedreigingen; 

i.      focussen op het formuleren van risicobereidheidsuitspraken in plaats van op het gesprek (als ‘critical friend’) over de veronderstellingen in voorstellen, plannen en prognoses;

j.     risicoanalyses uitvoeren naast SWOT-analyses en daarbij beperkte aandacht geven aan het belang om zaken vrijelijk ter discussie te kunnen stellen;

k.    workshops houden zonder veel rekening te houden met de effecten van de organisatiecultuur op het groepsproces en van beoordelingsfouten zoals zelfoverschatting; 

l.      uitgebreide risicoregisters en risicodossiers bijhouden in plaats van de waarschijnlijkheden na te gaan van mogelijke toekomstige afwijkingen van de geformuleerde doelstellingen;

m.   omvangrijke beheersraamwerken bouwen en testen (vaak ondersteund door dure applicaties), terwijl beslissers bij hun afwegingen vooral evenwichtige informatie nodig hebben;

n.    inzetten op preventieve ‘hard controls’ (voorkómen is beter dan genezen) en beperkt oog hebben voor het belang van competenties (beoordelingsvermogen) en intenties (integriteit);

o.    zich druk maken over risicoscores (risiconiveau) en weinig aandacht hebben voor de afhankelijkheden tussen risico’s en ons beperkte vermogen om waarschijnlijkheden goed in te inschatten;

p.    risicomatrices (‘heatmaps’) gebruiken zonder zich te realiseren dat de geplotte punten voor waarschijnlijkheden en effecten verdelingen zijn (reeksen van mogelijke uitkomsten, elk met een bepaalde kans);

q.    vertrouwen op complexe modellen waarbij de afhankelijkheden en parameters gebaseerd zijn op allerlei veronderstellingen die in de toekomst mogelijk niet geldig zijn; 

r.     uitgaan van recht-toe-recht-aan relaties tussen oorzaken en gevolgen, terwijl veel toekomstige ontwikkelingen inherent chaotisch en onvoorspelbaar zijn;

s.     weinig aandacht besteden aan contracten, terwijl het daar bij uitstek gaat over wederzijdse rechten en verplichtingen die kunnen voortvloeien uit toekomstige gebeurtenissen;

t.     aparte risicorapportages opstellen naast reguliere managementrapportages, die niet aangeven in welke mate de verwachte uitkomsten zullen vallen binnen de aanvaardbare bandbreedtes;

u.    van collega’s verwachten dat zij (schone) interne in control statements afgeven in plaats van de nadruk te leggen op het leren van (positieve en negatieve) ervaringen;

v.    bezig zijn met compliance vereisten, zoals risicoparagrafen, in plaats van zich in te zetten voor het uitwisselen van kennis en best practices tussen de organisatie-onderdelen;

w.   gemakshalve voorbijgaan aan enorme complexiteit van de toekomst, die mede veroorzaakt wordt door de afhankelijkheid van vele interne en externe actoren met hun eigen belangen; 

x.    risicomanagement als apart agenda-item beschouwen bij vergaderingen, alsof het bij de andere items niet zou gaan over het succesvol omgaan met kansen en bedreigingen;

y.    uitgaan van mensen als rationeel beslissende wezens en weinig bekommernis hebben om de rol van de mentaliteit van de beslissers bij het afwegen van conflicterende belangen;

z.     zich vooral druk maken over het mitigeren van allerlei mogelijke onheilen en niet bezig zijn met het optimaliseren van de ‘risk-return’ balans.